gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-12 21:13:45 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 18:59:36 +00:00
parent 7770a50092
commit 820dd99aed
244 changed files with 8557 additions and 11405 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
src/pentesting-cloud/ibm-cloud-pentesting/README.md
View File

@@ -4,20 +4,20 @@
{{#include ../../banners/hacktricks-training.md}}
### What is IBM cloud? (By chatGPT)
### Cos'è IBM Cloud? (Di chatGPT)
IBM Cloud, a cloud computing platform by IBM, offers a variety of cloud services such as infrastructure as a service (IaaS), platform as a service (PaaS), and software as a service (SaaS). It enables clients to deploy and manage applications, handle data storage and analysis, and operate virtual machines in the cloud.
IBM Cloud, una piattaforma di cloud computing di IBM, offre una varietà di servizi cloud come infrastruttura come servizio (IaaS), piattaforma come servizio (PaaS) e software come servizio (SaaS). Consente ai clienti di distribuire e gestire applicazioni, gestire l'archiviazione e l'analisi dei dati e operare macchine virtuali nel cloud.
When compared with Amazon Web Services (AWS), IBM Cloud showcases certain distinct features and approaches:
Rispetto ad Amazon Web Services (AWS), IBM Cloud presenta alcune caratteristiche e approcci distintivi:
1. **Focus**: IBM Cloud primarily caters to enterprise clients, providing a suite of services designed for their specific needs, including enhanced security and compliance measures. In contrast, AWS presents a broad spectrum of cloud services for a diverse clientele.
2. **Hybrid Cloud Solutions**: Both IBM Cloud and AWS offer hybrid cloud services, allowing integration of on-premises infrastructure with their cloud services. However, the methodology and services provided by each differ.
3. **Artificial Intelligence and Machine Learning (AI & ML)**: IBM Cloud is particularly noted for its extensive and integrated services in AI and ML. AWS also offers AI and ML services, but IBM's solutions are considered more comprehensive and deeply embedded within its cloud platform.
4. **Industry-Specific Solutions**: IBM Cloud is recognized for its focus on particular industries like financial services, healthcare, and government, offering bespoke solutions. AWS caters to a wide array of industries but might not have the same depth in industry-specific solutions as IBM Cloud.
1. **Focus**: IBM Cloud si rivolge principalmente ai clienti aziendali, fornendo una suite di servizi progettati per le loro esigenze specifiche, inclusi misure di sicurezza e conformità avanzate. Al contrario, AWS presenta un ampio spettro di servizi cloud per una clientela diversificata.
2. **Soluzioni Cloud Ibride**: Sia IBM Cloud che AWS offrono servizi cloud ibridi, consentendo l'integrazione dell'infrastruttura on-premises con i loro servizi cloud. Tuttavia, la metodologia e i servizi forniti da ciascuno differiscono.
3. **Intelligenza Artificiale e Apprendimento Automatico (AI & ML)**: IBM Cloud è particolarmente noto per i suoi servizi estesi e integrati in AI e ML. AWS offre anche servizi di AI e ML, ma le soluzioni di IBM sono considerate più complete e profondamente integrate nella sua piattaforma cloud.
4. **Soluzioni Specifiche per Settore**: IBM Cloud è riconosciuto per il suo focus su settori specifici come i servizi finanziari, la sanità e il governo, offrendo soluzioni su misura. AWS si rivolge a una vasta gamma di settori, ma potrebbe non avere la stessa profondità nelle soluzioni specifiche per settore come IBM Cloud.
#### Basic Information
#### Informazioni di Base
For some basic information about IAM and hierarchi check:
Per alcune informazioni di base su IAM e gerarchia controlla:
{{#ref}}
ibm-basic-information.md
@@ -25,18 +25,14 @@ ibm-basic-information.md
### SSRF
Learn how you can access the medata endpoint of IBM in the following page:
Scopri come puoi accedere all'endpoint medata di IBM nella seguente pagina:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#2af0
{{#endref}}
## References
## Riferimenti
- [https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/#:\~:text=IBM%20Cloud%20is%3A,%2C%20networking%2C%20and%20database%20management.](https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/)
{{#include ../../banners/hacktricks-training.md}}

70
src/pentesting-cloud/ibm-cloud-pentesting/ibm-basic-information.md
View File

@@ -1,14 +1,14 @@
# IBM - Basic Information
# IBM - Informazioni di Base
{{#include ../../banners/hacktricks-training.md}}
## Hierarchy
## Gerarchia
IBM Cloud resource model ([from the docs](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
Modello di risorse IBM Cloud ([dalla documentazione](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
<figure><img src="../../images/image (225).png" alt=""><figcaption></figcaption></figure>
Recommended way to divide projects:
Modo raccomandato per dividere i progetti:
<figure><img src="../../images/image (239).png" alt=""><figcaption></figcaption></figure>
@@ -16,61 +16,57 @@ Recommended way to divide projects:
<figure><img src="../../images/image (266).png" alt=""><figcaption></figcaption></figure>
### Users
### Utenti
Users have an **email** assigned to them. They can access the **IBM console** and also **generate API keys** to use their permissions programatically.\
**Permissions** can be granted **directly** to the user with an access policy or via an **access group**.
Gli utenti hanno un **email** assegnato a loro. Possono accedere alla **console IBM** e anche **generare chiavi API** per utilizzare le loro autorizzazioni in modo programmatico.\
**Le autorizzazioni** possono essere concesse **direttamente** all'utente con una policy di accesso o tramite un **gruppo di accesso**.
### Trusted Profiles
### Profili Fidati
These are **like the Roles of AWS** or service accounts from GCP. It's possible to **assign them to VM** instances and access their **credentials via metadata**, or even **allow Identity Providers** to use them in order to authenticate users from external platforms.\
**Permissions** can be granted **directly** to the trusted profile with an access policy or via an **access group**.
Questi sono **come i Ruoli di AWS** o gli account di servizio di GCP. È possibile **assegnarli a VM** istanze e accedere alle loro **credenziali tramite i metadati**, o anche **consentire ai Provider di Identità** di utilizzarli per autenticare gli utenti da piattaforme esterne.\
**Le autorizzazioni** possono essere concesse **direttamente** al profilo fidato con una policy di accesso o tramite un **gruppo di accesso**.
### Service IDs
### ID Servizio
This is another option to allow applications to **interact with IBM cloud** and perform actions. In this case, instead of assign it to a VM or Identity Provider an **API Key can be used** to interact with IBM in a **programatic** way.\
**Permissions** can be granted **directly** to the service id with an access policy or via an **access group**.
Questa è un'altra opzione per consentire alle applicazioni di **interagire con IBM cloud** e svolgere azioni. In questo caso, invece di assegnarlo a una VM o a un Provider di Identità, può essere utilizzata una **chiave API** per interagire con IBM in modo **programmatico**.\
**Le autorizzazioni** possono essere concesse **direttamente** all'ID servizio con una policy di accesso o tramite un **gruppo di accesso**.
### Identity Providers
### Provider di Identità
External **Identity Providers** can be configured to **access IBM cloud** resources from external platforms by accessing **trusting Trusted Profiles**.
I **Provider di Identità** esterni possono essere configurati per **accedere alle risorse IBM cloud** da piattaforme esterne accedendo a **profili fidati**.
### Access Groups
### Gruppi di Accesso
In the same access group **several users, trusted profiles & service ids** can be present. Each principal in the access group will **inherit the access group permissions**.\
**Permissions** can be granted **directly** to the trusted profile with an access policy.\
An **access group cannot be a member** of another access group.
Nello stesso gruppo di accesso possono essere presenti **diversi utenti, profili fidati e ID servizio**. Ogni principale nel gruppo di accesso **erediterà le autorizzazioni del gruppo di accesso**.\
**Le autorizzazioni** possono essere concesse **direttamente** al profilo fidato con una policy di accesso.\
Un **gruppo di accesso non può essere membro** di un altro gruppo di accesso.
### Roles
### Ruoli
A role is a **set of granular permissions**. **A role** is dedicated to **a service**, meaning that it will only contain permissions of that service.\
**Each service** of IAM will already have some **possible roles** to choose from to **grant a principal access to that service**: **Viewer, Operator, Editor, Administrator** (although there could be more).
Un ruolo è un **insieme di autorizzazioni granulari**. **Un ruolo** è dedicato a **un servizio**, il che significa che conterrà solo autorizzazioni di quel servizio.\
**Ogni servizio** di IAM avrà già alcuni **ruoli possibili** tra cui scegliere per **concedere accesso a un principale a quel servizio**: **Visualizzatore, Operatore, Editore, Amministratore** (anche se potrebbero essercene di più).
Role permissions are given via access policies to principals, so if you need to give for example a **combination of permissions** of a service of **Viewer** and **Administrator**, instead of giving those 2 (and overprivilege a principal), you can **create a new role** for the service and give that new role the **granular permissions you need**.
Le autorizzazioni del ruolo vengono concesse tramite policy di accesso ai principali, quindi se hai bisogno di dare, ad esempio, una **combinazione di autorizzazioni** di un servizio di **Visualizzatore** e **Amministratore**, invece di dare quelle 2 (e sovra-privilegiare un principale), puoi **creare un nuovo ruolo** per il servizio e dare a quel nuovo ruolo le **autorizzazioni granulari di cui hai bisogno**.
### Access Policies
### Policy di Accesso
Access policies allows to **attach 1 or more roles of 1 service to 1 principal**.\
When creating the policy you need to choose:
Le policy di accesso consentono di **allegare 1 o più ruoli di 1 servizio a 1 principale**.\
Quando crei la policy devi scegliere:
- The **service** where permissions will be granted
- **Affected resources**
- Service & Platform **access** that will be granted
- These indicate the **permissions** that will be given to the principal to perform actions. If any **custom role** is created in the service you will also be able to choose it here.
- **Conditions** (if any) to grant the permissions
- Il **servizio** dove verranno concesse le autorizzazioni
- **Risorse interessate**
- Accesso al servizio e alla piattaforma **che verrà concesso**
- Questi indicano le **autorizzazioni** che verranno date al principale per eseguire azioni. Se viene creata una **policy personalizzata** nel servizio, potrai anche sceglierla qui.
- **Condizioni** (se presenti) per concedere le autorizzazioni
> [!NOTE]
> To grant access to several services to a user, you can generate several access policies
> Per concedere accesso a diversi servizi a un utente, puoi generare diverse policy di accesso
<figure><img src="../../images/image (248).png" alt=""><figcaption></figcaption></figure>
## References
## Riferimenti
- [https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises](https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises)
- [https://cloud.ibm.com/docs/account?topic=account-iamoverview](https://cloud.ibm.com/docs/account?topic=account-iamoverview)
{{#include ../../banners/hacktricks-training.md}}

32
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-crypto-services.md
View File

@@ -2,32 +2,28 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Informazioni di base
IBM Hyper Protect Crypto Services is a cloud service that provides **highly secure and tamper-resistant cryptographic key management and encryption capabilities**. It is designed to help organizations protect their sensitive data and comply with security and privacy regulations such as GDPR, HIPAA, and PCI DSS.
IBM Hyper Protect Crypto Services è un servizio cloud che fornisce **gestione delle chiavi crittografiche e capacità di crittografia altamente sicure e resistenti alle manomissioni**. È progettato per aiutare le organizzazioni a proteggere i propri dati sensibili e a conformarsi alle normative di sicurezza e privacy come GDPR, HIPAA e PCI DSS.
Hyper Protect Crypto Services uses **FIPS 140-2 Level 4 certified hardware security modules** (HSMs) to store and protect cryptographic keys. These HSMs are designed to r**esist physical tampering** and provide high levels of **security against cyber attacks**.
Hyper Protect Crypto Services utilizza **moduli di sicurezza hardware (HSM) certificati FIPS 140-2 di livello 4** per memorizzare e proteggere le chiavi crittografiche. Questi HSM sono progettati per **resistere a manomissioni fisiche** e fornire elevati livelli di **sicurezza contro attacchi informatici**.
The service provides a range of cryptographic services, including key generation, key management, digital signature, encryption, and decryption. It supports industry-standard cryptographic algorithms such as AES, RSA, and ECC, and can be integrated with a variety of applications and services.
Il servizio offre una gamma di servizi crittografici, tra cui generazione di chiavi, gestione delle chiavi, firma digitale, crittografia e decrittografia. Supporta algoritmi crittografici standard del settore come AES, RSA ed ECC, e può essere integrato con una varietà di applicazioni e servizi.
### What is a Hardware Security Module
### Cos'è un modulo di sicurezza hardware
A hardware security module (HSM) is a dedicated cryptographic device that is used to generate, store, and manage cryptographic keys and protect sensitive data. It is designed to provide a high level of security by physically and electronically isolating the cryptographic functions from the rest of the system.
Un modulo di sicurezza hardware (HSM) è un dispositivo crittografico dedicato utilizzato per generare, memorizzare e gestire chiavi crittografiche e proteggere dati sensibili. È progettato per fornire un elevato livello di sicurezza isolando fisicamente ed elettronicamente le funzioni crittografiche dal resto del sistema.
The way an HSM works can vary depending on the specific model and manufacturer, but generally, the following steps occur:
Il modo in cui un HSM funziona può variare a seconda del modello specifico e del produttore, ma generalmente si verificano i seguenti passaggi:
1. **Key generation**: The HSM generates a random cryptographic key using a secure random number generator.
2. **Key storage**: The key is **stored securely within the HSM, where it can only be accessed by authorized users or processes**.
3. **Key management**: The HSM provides a range of key management functions, including key rotation, backup, and revocation.
4. **Cryptographic operations**: The HSM performs a range of cryptographic operations, including encryption, decryption, digital signature, and key exchange. These operations are **performed within the secure environment of the HSM**, which protects against unauthorized access and tampering.
5. **Audit logging**: The HSM logs all cryptographic operations and access attempts, which can be used for compliance and security auditing purposes.
1. **Generazione di chiavi**: L'HSM genera una chiave crittografica casuale utilizzando un generatore di numeri casuali sicuro.
2. **Memorizzazione delle chiavi**: La chiave è **memorizzata in modo sicuro all'interno dell'HSM, dove può essere accessibile solo da utenti o processi autorizzati**.
3. **Gestione delle chiavi**: L'HSM fornisce una gamma di funzioni di gestione delle chiavi, tra cui rotazione delle chiavi, backup e revoca.
4. **Operazioni crittografiche**: L'HSM esegue una serie di operazioni crittografiche, tra cui crittografia, decrittografia, firma digitale e scambio di chiavi. Queste operazioni sono **eseguite all'interno dell'ambiente sicuro dell'HSM**, che protegge contro accessi non autorizzati e manomissioni.
5. **Registrazione delle attività**: L'HSM registra tutte le operazioni crittografiche e i tentativi di accesso, che possono essere utilizzati per scopi di conformità e auditing della sicurezza.
HSMs can be used for a wide range of applications, including secure online transactions, digital certificates, secure communications, and data encryption. They are often used in industries that require a high level of security, such as finance, healthcare, and government.
Gli HSM possono essere utilizzati per una vasta gamma di applicazioni, tra cui transazioni online sicure, certificati digitali, comunicazioni sicure e crittografia dei dati. Sono spesso utilizzati in settori che richiedono un elevato livello di sicurezza, come finanza, sanità e governo.
Overall, the high level of security provided by HSMs makes it **very difficult to extract raw keys from them, and attempting to do so is often considered a breach of security**. However, there may be **certain scenarios** where a **raw key could be extracted** by authorized personnel for specific purposes, such as in the case of a key recovery procedure.
In generale, l'elevato livello di sicurezza fornito dagli HSM rende **molto difficile estrarre chiavi grezze da essi, e tentare di farlo è spesso considerato una violazione della sicurezza**. Tuttavia, potrebbero esserci **alcuni scenari** in cui una **chiave grezza potrebbe essere estratta** da personale autorizzato per scopi specifici, come nel caso di una procedura di recupero delle chiavi.
{{#include ../../banners/hacktricks-training.md}}

40
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-virtual-server.md
View File

@@ -2,45 +2,41 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Informazioni di base
Hyper Protect Virtual Server is a **virtual server** offering from IBM that is designed to provide a **high level of security and compliance** for sensitive workloads. It runs on **IBM Z and LinuxONE hardware**, which are designed for high levels of security and scalability.
Hyper Protect Virtual Server è un **server virtuale** offerto da IBM progettato per fornire un **alto livello di sicurezza e conformità** per carichi di lavoro sensibili. Funziona su **hardware IBM Z e LinuxONE**, progettati per alti livelli di sicurezza e scalabilità.
Hyper Protect Virtual Server uses **advanced security features** such as secure boot, encrypted memory, and tamper-proof virtualization to protect sensitive data and applications. It also provides a **secure execution environment that isolates each workload from other workloads** running on the same system.
Hyper Protect Virtual Server utilizza **funzionalità di sicurezza avanzate** come l'avvio sicuro, la memoria crittografata e la virtualizzazione a prova di manomissione per proteggere dati e applicazioni sensibili. Fornisce anche un **ambiente di esecuzione sicuro che isola ogni carico di lavoro dagli altri carichi di lavoro** in esecuzione sullo stesso sistema.
This virtual server offering is designed for workloads that require the highest levels of security and compliance, such as financial services, healthcare, and government. It allows organizations to run their sensitive workloads in a virtual environment while still meeting strict security and compliance requirements.
Questa offerta di server virtuale è progettata per carichi di lavoro che richiedono i massimi livelli di sicurezza e conformità, come i servizi finanziari, la sanità e il governo. Consente alle organizzazioni di eseguire i propri carichi di lavoro sensibili in un ambiente virtuale, pur rispettando rigorosi requisiti di sicurezza e conformità.
### Metadata & VPC
When you run a server like this one from the IBM service called "Hyper Protect Virtual Server" it **won't** allow you to configure **access to metadata,** link any **trusted profile**, use **user data**, or even a **VPC** to place the server in.
Quando esegui un server come questo dal servizio IBM chiamato "Hyper Protect Virtual Server", **non** ti permetterà di configurare **l'accesso ai metadata**, collegare un **profilo fidato**, utilizzare **dati utente** o anche un **VPC** per posizionare il server.
However, it's possible to **run a VM in a IBM Z linuxONE hardware** from the service "**Virtual server for VPC**" which will allow you to **set those configs** (metadata, trusted profiles, VPC...).
Tuttavia, è possibile **eseguire una VM su hardware IBM Z linuxONE** dal servizio "**Virtual server for VPC**", che ti permetterà di **impostare quelle configurazioni** (metadata, profili fidati, VPC...).
### IBM Z and LinuxONE
### IBM Z e LinuxONE
If you don't understand this terms chatGPT can help you understanding them.
Se non comprendi questi termini, chatGPT può aiutarti a capirli.
**IBM Z is a family of mainframe computers** developed by IBM. These systems are designed for **high-performance, high-availability, and high-security** enterprise computing. IBM Z is known for its ability to handle large-scale transactions and data processing workloads.
**IBM Z è una famiglia di computer mainframe** sviluppati da IBM. Questi sistemi sono progettati per il **calcolo aziendale ad alte prestazioni, alta disponibilità e alta sicurezza**. IBM Z è noto per la sua capacità di gestire transazioni su larga scala e carichi di lavoro di elaborazione dati.
**LinuxONE is a line of IBM Z** mainframes that are optimized for **running Linux** workloads. LinuxONE systems support a wide range of open-source software, tools, and applications. They provide a highly secure and scalable platform for running mission-critical workloads such as databases, analytics, and machine learning.
**LinuxONE è una linea di mainframe IBM Z** ottimizzati per **eseguire carichi di lavoro Linux**. I sistemi LinuxONE supportano un'ampia gamma di software, strumenti e applicazioni open-source. Forniscono una piattaforma altamente sicura e scalabile per eseguire carichi di lavoro critici, come database, analisi e machine learning.
**LinuxONE** is built on the **same hardware** platform as **IBM Z**, but it is **optimized** for **Linux** workloads. LinuxONE systems support multiple virtual servers, each of which can run its own instance of Linux. These virtual servers are isolated from each other to ensure maximum security and reliability.
**LinuxONE** è costruito sulla **stessa piattaforma hardware** di **IBM Z**, ma è **ottimizzato** per i **carichi di lavoro Linux**. I sistemi LinuxONE supportano più server virtuali, ciascuno dei quali può eseguire la propria istanza di Linux. Questi server virtuali sono isolati l'uno dall'altro per garantire la massima sicurezza e affidabilità.
### LinuxONE vs x64
LinuxONE is a family of mainframe computers developed by IBM that are optimized for running Linux workloads. These systems are designed for high levels of security, reliability, scalability, and performance.
LinuxONE è una famiglia di computer mainframe sviluppati da IBM ottimizzati per eseguire carichi di lavoro Linux. Questi sistemi sono progettati per alti livelli di sicurezza, affidabilità, scalabilità e prestazioni.
Compared to x64 architecture, which is the most common architecture used in servers and personal computers, LinuxONE has some unique advantages. Some of the key differences are:
Rispetto all'architettura x64, che è l'architettura più comune utilizzata nei server e nei computer personali, LinuxONE ha alcuni vantaggi unici. Alcune delle principali differenze sono:
1. **Scalability**: LinuxONE can support massive amounts of processing power and memory, which makes it ideal for large-scale workloads.
2. **Security**: LinuxONE has built-in security features that are designed to protect against cyber threats and data breaches. These features include hardware encryption, secure boot, and tamper-proof virtualization.
3. **Reliability**: LinuxONE has built-in redundancy and failover capabilities that help ensure high availability and minimize downtime.
4. **Performance**: LinuxONE can deliver high levels of performance for workloads that require large amounts of processing power, such as big data analytics, machine learning, and AI.
1. **Scalabilità**: LinuxONE può supportare enormi quantità di potenza di elaborazione e memoria, rendendolo ideale per carichi di lavoro su larga scala.
2. **Sicurezza**: LinuxONE ha funzionalità di sicurezza integrate progettate per proteggere contro minacce informatiche e violazioni dei dati. Queste funzionalità includono crittografia hardware, avvio sicuro e virtualizzazione a prova di manomissione.
3. **Affidabilità**: LinuxONE ha capacità di ridondanza e failover integrate che aiutano a garantire alta disponibilità e ridurre al minimo i tempi di inattività.
4. **Prestazioni**: LinuxONE può fornire alti livelli di prestazioni per carichi di lavoro che richiedono grandi quantità di potenza di elaborazione, come analisi di big data, machine learning e AI.
Overall, LinuxONE is a powerful and secure platform that is well-suited for running large-scale, mission-critical workloads that require high levels of performance and reliability. While x64 architecture has its own advantages, it may not be able to provide the same level of scalability, security, and reliability as LinuxONE for certain workloads.\\
In generale, LinuxONE è una piattaforma potente e sicura, ben adatta per eseguire carichi di lavoro critici su larga scala che richiedono alti livelli di prestazioni e affidabilità. Sebbene l'architettura x64 abbia i suoi vantaggi, potrebbe non essere in grado di fornire lo stesso livello di scalabilità, sicurezza e affidabilità di LinuxONE per determinati carichi di lavoro.\\
{{#include ../../banners/hacktricks-training.md}}